Il Presidente del Garante per la protezione dei dati personali Antonello Soro è stato audito ieri in teleconferenza dalla Commissione parlamentare per la semplificazione nell’ambito dell’indagine conoscitiva in materia di semplificazione dell’accesso dei cittadini ai servizi erogati dal Servizio Sanitario Nazionale.
L’occasione ha consentito al Garante di estendere l’analisi sul rapporto tra diritto alla salute e protezione dati: tema di grande rilevanza, in particolare nell’attuale contesto emergenziale. Di seguito alcuni dei passaggi salienti dell’intervento.
[…]
La pandemia ha dimostrato come il digitale -con la ricetta elettronica e con la telemedicina- possa consentire la prosecuzione delle cure anche in regime di distanziamento sociale.
Eppure una tecnologia non ben governata può aumentare esponenzialmente il rischio clinico in cui si riflette, in quest’ambito, il rischio informatico, ove ad esempio i dati su cui si fonda la diagnosi siano alterati.
Per altro verso, l’esfiltrazione o l’accesso indebito a dati sanitari possono violare, in modo talora irreversibile, quel diritto all’intangibilità della propria vita privata che costituisce la radice più antica della privacy.
Sul piano individuale, infatti, la conoscenza di dati così “sensibili” quali quelli genetici o sulla salute, può fondare discriminazioni (si pensi al rapporto lavorativo o assicurativo) o comunque pregiudizi rilevantissimi per l’interessato.
Ma il rischio cibernetico, in ambito sanitario, ha effetti importanti anche dal punto di vista collettivo.
Sul piano pubblico, infatti, gli attacchi a sistemi informativi di strutture sanitarie – parte significativa dei cyber attack nel nostro Paese- possono avere effetti devastanti su tutti i cittadini, impedendo l’erogazione di prestazioni sanitarie o, nel caso di alterazione di dati dei pazienti, errori clinici su larga scala.
La vulnerabilità dei sistemi sanitari, rischia quindi di causare disservizi anche gravissimi, ingenerando errori diagnostici o terapeutici o paralizzando l’attività di cura.
[…]
Il Fse (Fascicolo sanitario elettronico, nrd) è, in un certo senso, l’emblema di questa sfida, quale elemento imprescindibile di innovazione ed efficienza delle attività diagnostiche e terapeutiche, previsto dall’Agenda digitale italiana ed europea, dal Patto per la salute e per la sanità digitale, indicato quale piattaforma abilitante” dal Piano triennale dell’Agid.
Tuttavia, l’affidamento dell’intera storia clinica di milioni di pazienti a un’infrastruttura informatica rappresenta anche una non trascurabile fonte di vulnerabilità se priva di protezioni adeguate ad impedire accessi indebiti, esfiltrazioni o alterazioni dei dati.
Ciò spiega l’esigenza – da noi sollecitata in passato- di una cornice normativa tale da dotare uno strumento tanto irrinunciabile quanto delicato, di tutti i presidi necessari, in termini di misure di sicurezza ma anche di complessiva architettura del sistema.
La previsione legislativa ha anche consentito di ricondurre iniziative regionali disomogenee all’interno di un quadro di garanzie uniformi, tali da assicurare il pari trattamento dei cittadini.
Sin dal 2009 – tre anni prima dell’introduzione della relativa disciplina – il Garante ha fornito alcune importanti indicazioni sul fascicolo sanitario elettronico (come del resto sul dossier sanitario), rilevando in particolare la necessità di garantire:
– piena libertà al paziente sulle scelte essenziali relative al fascicolo, ivi incluse quelle inerenti la sua ampiezza e la possibilità di oscurare alcuni eventi clinici,
– la legittimazione selettiva e differenziata del personale autorizzato ad accedervi e il diritto del paziente di verificare gli accessi effettuati – restituendo così centralità all’interessato nel processo di gestione dei suoi dati –, nonché
– l’obbligo per il titolare di segnalare al Garante eventuali data breach occorsi nella propria struttura, quando ancora l’obbligo di notifica delle violazioni dei dati non era generale, al fine di contenere con misure tempestive i danni, individuali e collettivi, suscettibili di derivare da violazioni in quest’ambito.
Queste indicazioni hanno consentito di migliorare notevolmente la qualità delle prestazioni erogate, ponendo le condizioni necessarie per promuovere la fiducia dei cittadini in uno strumento diagnostico essenziale ma ancora troppo poco diffuso in quanto attivato nei confronti del solo 23% della popolazione.
Tale constatazione, unitamente al costante monitoraggio dell’applicazione normativa, ha quindi consentito di proporre, anche alla luce del sopravvenuto Regolamento europeo, misure di semplificazione e, al tempo stesso, di valorizzazione del fascicolo sanitario elettronico, poi introdotte proprio dal decreto legge rilancio.
In particolare, è stata ritenuta opportuna- e dall’Autorità condivisa – l’eliminazione del consenso all’alimentazione del Fascicolo, confermando invece quello (autenticamente espressivo di autodeterminazione informativa) relativo alla consultazione da parte dei professionisti sanitari.
Tale modifica contribuisce a semplificare notevolmente il processo di costituzione dell’fse rendendolo quindi automaticamente disponibile a prescindere da manifestazioni di volontà individuali, ma confermando il consenso del paziente quale fonte di legittimazione dell’accesso ai dati, da parte del professionista sanitario.
Lo spettro del fascicolo è ampliato, sino a comprendere tutti i documenti, sanitari e socio-sanitari, riferiti alle prestazioni erogate, a carico o meno del SSN, includendo dunque tra i soggetti abilitati all’alimentazione la generalità degli esercenti le professioni sanitarie che seguano il paziente.
La prevista, ulteriore alimentazione del fse con i dati disponibili sulla scelta circa donazione degli organi, vaccinazioni e prenotazioni promuoverà poi l’efficacia delle prestazioni sanitarie se e nella misura in cui garantirà l’allineamento delle banche dati e, quindi, l’esattezza ed aggiornamento delle informazioni.
Si prospetta, inoltre, un notevole potenziamento- che dovrà essere oggetto di attento monitoraggio- del Portale e dell’infrastruttura nazionale per l’interoperabilità, necessario all’erogazione delle prestazioni sanitarie ‘in mobilità’ dei cittadini, ovvero nell’ambito di regioni diverse da quella di residenza.
Si prevede quindi l’istituzione dell’Anagrafe Nazionale dei consensi e relative revoche, da associarsi agli assistiti risultanti nella relativa anagrafe, comprensiva anche dei dati inerenti eventuali deleghe (ad esempio per le decisioni inerenti i minori).
La valorizzazione della funzione e l’estensione dello spettro del fse, prevista con il dl rilancio anche sulla scorta delle indicazioni fornite dall’Autorità, rappresenta certamente una sfida importante per il settore sanitario, da giocare fino in fondo senza però sottovalutare in alcun modo i rischi connessi all’affidamento, a una piattaforma informatica, dei dati sulla storia clinica, potenzialmente, di tutti gli assistiti.
[…]
Per altro verso, non va sottovalutato il rischio di accessi indebiti ai dati del fascicolo sanitario, resi possibili da una inadeguata definizione del perimetro e dei profili di legittimazione degli stessi professionisti sanitari.
Non rari sono stati i casi, sottoposti alla nostra attenzione, di consultazioni di fascicoli sanitari da parte di personale privo dei titoli, per fini ritorsivi o di semplice, patologica, curiosità.
La violazione della riservatezza derivante da tali condotte potrà essere, poi, persino più significativa ove nel fse confluiscano dati di particolare rilevanza sotto il profilo delle scelte esistenziali, quali quelli sulla donazione degli organi o, laddove dovesse prevedersi, sulle dichiarazioni anticipate di trattamento.
La protezione dei dati da accessi indebiti e l’esatta definizione dei soggetti legittimati alla consultazione costituiscono, del resto, un obiettivo ineludibile soprattutto nel contesto sanitario complessivamente inteso.
[…]
La gestione, poi, di dati così delicati e in costante evoluzione quali quelli sanitari necessita di garanzie idonee ad assicurarne la qualità.
In questo senso, le regole di protezione dati sono un presupposto di efficienza sanitaria, contribuendo alla garanzia di esattezza ed aggiornamento dei dati, in un ambito, quale quello in esame, in cui il ricorso a un’informazione obsoleta o alterata può determinare danni talora anche letali per il paziente.
L’aggiornamento costante deve, del resto, riguardare anche le manifestazioni di volontà dell’assistito, per poterne garantire l’effettivo rispetto nella loro attualità ed evoluzione.
E’ un tema che riguarda molti degli archivi rilevanti in questo campo.
Esso coinvolge, infatti, il consenso alla consultazione del fse (la cui anagrafe comprende anche, appunto, le revoche), ma a maggior ragione, in ambito contiguo, le dichiarazioni anticipate di trattamento.
Rispetto alle scelte sul fine vita, infatti, la centralizzazione delle dichiarazioni è necessaria per evitarne il disallineamento e, quindi, garantirne il costante aggiornamento, necessario per il rispetto della volontà attuale del soggetto.
[…]
La protezione dei dati può rappresentare tanto un elemento di garanzia del singolo quanto un fattore di appropriatezza della generale governance sanitaria.
Sotto questo profilo, questa disciplina offre importanti garanzie, esigendo in particolare trasparenza, contestabilità, non discriminatorietà del processo algoritmico, oltre che un approccio generale volto alla prevenzione del rischio, con la previsione di misure precauzionali e l’adozione di una strategia complessiva volta alla responsabilizzazione dei protagonisti del trattamento.
Abbiamo ricordato questi principi anche rispetto a sempre più frequenti, modelli di assistenza sanitaria fondati sulla medicina d’iniziativa e, quindi, sulla profilazione del rischio sanitario e che, sebbene volti alla “personalizzazione” della medicina e al miglioramento dell’offerta terapeutica, coinvolgono tuttavia aspetti delicatissimi dal punto di vista esistenziale.
Di qui l’esigenza non solo del consenso quale espressione di autodeterminazione (informativa e sanitaria ad un tempo) rispetto a un trattamento automatizzato non strettamente necessario per finalità immediate di cura dell’interessato, ma anche di un’adeguata supervisione della profilazione, che se fondata su dati o inferenze inesatti rischia di determinare gravi pregiudizi all’interessato e rilevanti errori sul piano complessivo del governo clinico.
Garanzie di correttezza andranno assicurate anche rispetto all’uso – promosso dal dl rilancio – di metodologie predittive del fabbisogno sanitario, per il quale le regole di protezione dati potranno rappresentare un prezioso presupposto di efficacia.
[…]
QUI L’INTERVENTO COMPLETO